Engagements d'audit

Gérez les audits de conformité de la préparation à l'achèvement.

Vue d'ensemble

Les Engagements d'audit vous aident à :

• Planifier et suivre les activités d'audit
• Gérer l'accès et les demandes des auditeurs
• Collecter et organiser les preuves
• Suivre les constatations d'audit et les corrections
• Générer des rapports prêts pour l'audit

Naviguez vers Audits dans la barre latérale.

Types d'audit

Audits internes

Auto-évaluations et revues internes :

• Évaluations de sécurité
• Vérifications de conformité des politiques
• Tests d'efficacité des contrôles
• Analyse d'écart

Audits externes

Engagements d'auditeurs tiers :

• SOC 2 Type I/II
• Certification ISO 27001
• Évaluation PCI-DSS
• Audits HIPAA
• Examens réglementaires

Création d'un audit

Nouvel engagement d'audit

1. Aller à Audits → Créer un engagement
2. Entrer les détails de l'audit :
   • Nom de l'audit
   • Type (Interne/Externe)
   • Framework (SOC 2, ISO, etc.)
   • Dates début/fin de période d'audit
   • Nom auditeur/cabinet
3. Définir les jalons clés
4. Cliquer sur Créer

Détails de l'audit

Champ	Description
Nom	Nom de l'engagement d'audit
Type	Interne ou Externe
Framework	Framework de conformité
Période	Dates de période d'audit
Statut	Planification, En cours, Terminé
Responsable	Responsable interne de l'audit
Auditeur	Auditeur/cabinet externe

Flux de travail d'audit

Phases

Planification → Travail terrain → Rapport → Correction → Clôture

1. Phase de planification

Préparer l'audit :

• Définir le périmètre et les objectifs
• Identifier les contrôles clés
• Rassembler les preuves préliminaires
• Planifier les réunions auditeur
• Assigner les ressources internes

Checklist :

• [ ] Confirmer le périmètre d'audit
• [ ] Identifier les systèmes dans le périmètre
• [ ] Assigner les responsables de contrôle
• [ ] Préparer l'inventaire des preuves
• [ ] Planifier la réunion de lancement

2. Phase de travail terrain

Période d'audit active :

• Répondre aux demandes des auditeurs
• Fournir les preuves
• Faciliter les tests
• Traiter les constatations préliminaires

Activités auditeur :

• Test des contrôles
• Examen des preuves
• Démonstrations
• Entretiens

3. Phase de rapport

Recevoir et examiner les résultats :

• Examen du rapport provisoire
• Préparation de la réponse de la direction
• Livraison du rapport final

4. Phase de correction

Traiter les constatations d'audit :

• Créer des tâches de correction
• Assigner les responsables
• Suivre les progrès
• Fournir les preuves de correction

5. Phase de clôture

Compléter l'engagement :

• Rapport final accepté
• Correction vérifiée
• Leçons apprises documentées
• Archiver l'engagement

Demandes de preuves

Gérer les demandes

Quand les auditeurs demandent des preuves :

1. Aller à Audits → [Engagement] → Demandes
2. Voir les demandes en attente
3. Cliquer sur une demande pour voir les détails
4. Téléverser ou lier la preuve
5. Soumettre pour examen de l'auditeur

Statut des demandes

Statut	Description
En attente	En attente de réponse
Soumis	Preuve fournie
Accepté	Approuvé par l'auditeur
Rejeté	L'auditeur a besoin de plus d'informations
Fermé	Demande terminée

Liste des demandes

Demandes ouvertes : 8

Dues aujourd'hui (2) :
- CC6.1 : Politique de contrôle d'accès
- CC6.3 : Revue d'accès utilisateur

Dues cette semaine (4) :
- CC7.1 : Résultats d'analyse de vulnérabilités
- CC7.2 : Plan de réponse aux incidents
- CC8.1 : Processus de gestion du changement
- CC9.1 : Évaluation des risques

Dues plus tard (2) :
- CC1.1 : Procès-verbaux réunions conseil
- CC2.1 : Politique de communication

Réponse groupée

Répondre à plusieurs demandes :

1. Sélectionner les demandes connexes
2. Cliquer sur Réponse groupée
3. Téléverser la preuve couvrant plusieurs demandes
4. Mapper la preuve aux demandes
5. Tout soumettre

Portail auditeur

Fonctionnalité Professionnelle

Le Portail auditeur nécessite le plan Professionnel ou Entreprise.

Accès au portail

Accorder aux auditeurs un accès en lecture seule :

1. Aller à Audits → [Engagement] → Accès
2. Cliquer sur Inviter un auditeur
3. Entrer l'email de l'auditeur
4. Définir les permissions
5. Envoyer l'invitation

Fonctionnalités du portail

Les auditeurs peuvent :

• Voir les contrôles assignés
• Soumettre des demandes de preuves
• Examiner les preuves soumises
• Ajouter commentaires/questions
• Marquer les demandes comme terminées

Niveaux d'accès

Niveau	Capacités
Lecteur	Voir les preuves uniquement
Réviseur	Voir + commenter
Demandeur	Voir + commenter + demander

Constatations d'audit

Types de constatations

Type	Description
Observation	Problème mineur, informatif
Constatation	Déficience de contrôle
Exception	Instance de non-conformité
Faiblesse matérielle	Échec de contrôle significatif

Suivi des constatations

1. Aller à Audits → [Engagement] → Constatations
2. Voir toutes les constatations identifiées
3. Cliquer sur une constatation pour les détails
4. Assigner un responsable de correction
5. Suivre jusqu'à résolution

Réponse de la direction

Documenter votre réponse aux constatations :

1. Ouvrir la constatation
2. Cliquer sur Réponse de la direction
3. Ajouter la réponse :
   • Cause racine
   • Plan de correction
   • Date cible
   • Partie responsable
4. Soumettre la réponse

Suivi de correction

Constatation : Fréquence de revue d'accès

Statut : En correction
Responsable : Jane Smith
Cible : 15 févr 2026

Progrès :
[✓] Cause racine identifiée
[✓] Plan de correction approuvé
[ ] Implémentation technique
[ ] Mise à jour documentation
[ ] Tests de vérification

Rapports

Tableau de bord d'audit

Voir le statut de l'audit d'un coup d'œil :

Audit SOC 2 Type II 2026

Statut : Travail terrain (65% terminé)
████████████████████████░░░░░░░░░░░░░░ 65%

Calendrier :
15 janv - Lancement ✓
1 févr  - Début travail terrain ✓
1 mars  - Fin travail terrain (en cours)
15 mars - Rapport provisoire
1 avr   - Rapport final

Demandes : 45 total
├── Accepté : 30 (67%)
├── Soumis : 10 (22%)
└── En attente : 5 (11%)

Rapport de statut

Générer un rapport de statut :

1. Cliquer sur Rapports → Statut d'audit
2. Sélectionner l'engagement
3. Choisir les sections
4. Générer le PDF

Package de preuves

Créer un package de preuves complet :

1. Aller à Audits → [Engagement] → Package
2. Sélectionner contrôles et preuves
3. Ajouter une table des matières
4. Inclure les métadonnées
5. Générer le package

Le package inclut :

• Page de couverture
• Matrice de contrôles
• Documents de preuve
• Métadonnées de collecte
• Chaîne de conservation

Calendrier d'audit

Vue chronologique

Voir toutes les activités d'audit :

Janvier 2026
─────────────────────────────────────────────────
Semaine 1 : SOC 2 - Réunion de lancement
Semaine 2 : SOC 2 - Début tests contrôles
Semaine 3 : ISO 27001 - Pré-évaluation
Semaine 4 : PCI-DSS - Échéance SAQ

Jalons

Suivre les dates clés :

Jalon	Date	Statut
Lancement audit	15 janv	Terminé
Échéance demandes preuves	15 févr	En attente
Travail terrain terminé	1 mars	À venir
Rapport provisoire	15 mars	À venir
Rapport final	1 avr	À venir

Rappels

Recevoir des notifications pour :

• Jalons à venir
• Demandes en retard
• Échéances de réponse
• Dates d'échéance constatations

Audits multi-frameworks

Audits combinés

Gérer les audits couvrant plusieurs frameworks :

1. Créer l'engagement
2. Sélectionner plusieurs frameworks
3. Mapper les contrôles partagés
4. Preuves utilisées pour tous les frameworks

Avantages d'efficacité

Contrôle : Revues d'accès

Correspond à :
- SOC 2 CC6.2 ✓
- ISO 27001 A.9.2.5 ✓
- PCI-DSS 8.1.4 ✓

Un ensemble de preuves, trois frameworks !

Accès API

# Lister les engagements d'audit
GET /api/v1/audits?status=in_progress

# Obtenir les détails d'un engagement
GET /api/v1/audits/{audit_id}

# Créer un engagement
POST /api/v1/audits
{
  "name": "SOC 2 Type II 2026",
  "type": "external",
  "framework": "soc2",
  "period_start": "2025-01-01",
  "period_end": "2025-12-31",
  "auditor": "Cabinet d'audit exemple"
}

# Lister les demandes de preuves
GET /api/v1/audits/{audit_id}/requests

# Répondre à une demande
POST /api/v1/audits/{audit_id}/requests/{request_id}/respond
{
  "evidence_ids": ["evidence_123", "evidence_456"],
  "notes": "Voir les documents joints"
}

Voir Référence API pour la documentation complète.

Bonnes pratiques

1. Commencer tôt : Débuter la préparation 2-3 mois à l'avance
2. Assigner des responsables : Chaque contrôle a besoin d'un responsable
3. Organiser les preuves : Garder les preuves organisées toute l'année
4. Communiquer clairement : Mises à jour régulières aux auditeurs
5. Tout suivre : Documenter toutes les interactions
6. Apprendre des constatations : Traiter les causes racines
7. Automatiser la collecte : Utiliser les preuves automatisées quand possible